Blog

 

WannaCry

 

Aperçu

Selon de nombreux rapports open source, une vaste campagne de ransomware affecte diverses organisations avec des rapports de dizaines de milliers d’infections dans 74 pays, dont les États-Unis, le Royaume-Uni, l’Espagne, la Russie, Taiwan, la France et le Japon. Le logiciel peut fonctionner jusqu’à 27 langues différentes.

La dernière version de cette variante de ransomware, connue sous le nom de WannaCry, WCry ou Wanna Decryptor, a été découverte le matin du 12 mai 2017 par un chercheur de sécurité indépendant et s’est propagée rapidement pendant plusieurs heures, les rapports initiaux commençant vers 4 heures du matin EDT, 12 mai 2017. Les rapports Open Source indiquent une rançon requise de bitcoins valant à peu près 300 $ US.

 

Systèmes affectés

Microsoft Windows

 

Description

Les rapports initiaux indiquent que le piratage ou le groupe de pirates derrière la campagne WannaCry accède à des serveurs d’entreprise soit par le biais du protocole RDP (Remote Desktop Protocol) soit par l’exploitation d’une vulnérabilité critique de SMB de Windows. Microsoft a publié une mise à jour de sécurité pour la vulnérabilité MS17-010 le 14 mars 2017. De plus, Microsoft a publié des correctifs pour les systèmes d’exploitation Windows XP, Windows 8 et Windows Server 2003 le 13 mai 2017. Selon certaines sources, un vecteur d’infection possible serait par courrier électronique de phishing.

 

Analyse initiale

Le ransomware WannaCry reçu et analysé par US-CERT est une DLL cryptée. Pendant l’exécution, le programme écrit un fichier sur le disque nommé « t.wry ». Le logiciel malveillant utilise alors une clé intégrée pour décrypter ce fichier. Cette DLL, qui est ensuite chargée dans la procédure parent, est la réelle Wanna Cry Ransomware responsable du cryptage des fichiers de l’utilisateur. En utilisant cette méthode de chargement cryptographique, la DLL de WannaCry n’est jamais exposée directement sur le disque et n’est pas vulnérable aux analyses de logiciels antivirus.

La DLL nouvellement chargée commence immédiatement à crypter des fichiers sur le système de la victime et crypte les fichiers de l’utilisateur. Une clé aléatoire est générée pour le cryptage de chaque fichier.

Le logiciel malveillant tente également d’accéder aux ressources IPC et SMB auxquelles le système victime a accès. Cet accès permet aux logiciels malveillants de se propager latéralement sur un réseau compromis. Cependant, le logiciel malveillant ne tente jamais d’obtenir un mot de passe du compte de la victime pour accéder au partage IPC.

 

Impact

Ce Ransomware ne cible pas seulement les utilisateurs domestiques mais les entreprises peuvent également être infectées par ces logiciels de rançon, entraînant des conséquences négatives, y compris la perte temporaire ou permanente d’informations sensibles ou exclusives, une interruption des opérations régulières, des pertes financières engagées pour restaurer les systèmes et les fichiers, et le dommage potentiel à la réputation d’une organisation.

Le paiement de la rançon ne garantit pas la libération des fichiers chiffrés; Il garantit seulement que les acteurs malveillants reçoivent l’argent de la victime et, dans certains cas, leur information bancaire. En outre, le décryptage des fichiers ne signifie pas que l’infection du malware lui-même a été supprimée.

 

Solution

Étapes recommandées pour la prévention

Appliquer le correctif Microsoft pour la vulnérabilité SM15 MS17-010 datée du 14 mars 2017.

  • Activer des filtres indésirables forts pour éviter que les courriels d’hameçonnage n’atteignent les utilisateurs finaux et pour empêcher l’effusion de courrier électronique.
  • Scanner tous les e-mails entrants et sortants pour détecter les menaces et filtrer les fichiers exécutables qui pourraient atteindre les utilisateurs finaux.
  • Assurez-vous que les solutions anti-virus et anti-malware soient configurées pour effectuer des analyses régulières.
  • Gérer l’utilisation de comptes privilégiés. Mettre en œuvre le principe du minimum de privilège. Aucun utilisateur ne devrait être affecté à l’accès administrateur, à moins d’être absolument nécessaire.
  • Configurez les contrôles d’accès, y compris le fichier, le répertoire et les autorisations de partage de réseau avec un minimum de privilège à l’esprit. Si un utilisateur n’a besoin que de lire des fichiers spécifiques, ils ne devraient pas avoir accès en écriture à ces fichiers, répertoires ou partage.
  • Désactiver les macro-scripts des fichiers Microsoft Office transmis par courrier électronique. Envisager d’utiliser le logiciel Office Viewer pour ouvrir les fichiers Microsoft Office transmis par courrier électronique au lieu des applications complètes de la suite Office.
  • Élaborer, instaurer et pratiquer des programmes de sensibilisation des employés pour identifier les escroqueries, les liens malveillants et la tentative d’ingénierie sociale.
  • Des audits de vulnérabilités devraient s’exécuter sur le réseau au moins d’une fois par an. Idéalement, aussi souvent que possible.
  • Testez vos sauvegardes pour vous assurer qu’elles fonctionnent correctement lors de leur utilisation.

 

Étapes recommandées pour l’assainissement (cf Cert.be)

  1. Retirez le système informatique infecté du réseau informatique.
  2. Signalez l’infection à la police locale et au CERT.be.
  3. Supprimez le ransomware du système informatique infecté. Le système est intégralement réinstallé si nécessaire.
  4. Restaurez le système informatique à l’aide de la sauvegarde.

Les mesures de précaution visant à atténuer les menaces de ransomware incluent:

  • Assurez-vous que le logiciel anti-virus est à jour.
  • Mettre en œuvre un plan de sauvegarde et de récupération de données pour conserver des copies de données sensibles ou propriétaires dans un emplacement distinct et sécurisé.
  • Les copies de sauvegarde de données sensibles ne devraient pas être facilement accessibles depuis les réseaux locaux.
  • Vérifiez les liens contenus dans les e-mails et n’ouvrez pas les pièces jointes incluses dans les courriels non sollicités.
  • Si vous téléchargez des logiciels gratuits, faites-le à partir des sites que vous connaissez et faites confiance.
  • Activez les correctifs automatiques pour votre système d’exploitation et votre navigateur Web.

 

Commentaires :

Traduction de l’information reçue par le Cert US avec les recommandations du Cert.be.

Il est intéressant de remarquer que ce virus peut se propager par mail mais aussi simplement en accédant à un serveur de l’entreprise utilisant du RDP ou en exploitant une faille de vulnérabilité (SMB). Ce moyen de propagation est invisible pour l’antivirus en fonction.

Le patch de sécurité existe depuis mars 2017, ce qui veut dire que la faille était connue.

 La prévention passe par de la surveillance, par un audit de vulnérabilités qui résume toutes les mises à jours et patch de sécurité à mettre en place pour atteindre un niveau de sécurité acceptable.

 Cependant, la prévention apporte de l’assurance et de la sérenité car agir dans l’urgence et mettre tout à jour sans avoir eu le temps de tester, peut aussi amener l’entreprise à d’autres problèmes d’utilisation qu’elle n’avait pas prévus.

 

Auteurs : David Creteur – Joséphine Russello